Le istituzioni e le aziende italiane hanno un problema di sicurezza informatica. Solamente nel corso dell’ultima settimana due diversi tipi
Le istituzioni e le aziende italiane hanno un problema di sicurezza informatica. Solamente nel corso dell’ultima settimana due diversi tipi di malware hanno paralizzato prima alcuni ospedali milanesi e poi una serie di siti istituzionali tra cui quello del Senato e della Difesa.
Secondo il direttore generale dell’agenzia per la cybersicurezza nazionale Roberto Baldoni c’è bisogno di un intervento tecnico sulle competenze ma soprattutto culturale per far capire alla popolazione che i rischi digitali possono avere un grande impatto anche sulla vita offline.
In questo contesto, Leonardo, società italiana quotata in borsa e attiva nei settori della difesa, dell’aerospazio e della sicurezza, ha lanciato un software ridenominato Cyber Information Superiority, che ha l’obiettivo di riunire e concertare in un unico posto diversi assi di intervento per la sicurezza informatica di enti e aziende. Soprattutto, il software è pensato per creare un vastissimo e costantemente aggiornato database di minacce che può essere usato in ogni momento per prevenire attacchi o minimizzarne gli effetti.
Wired ne ha parlato più nel dettaglio con Massimo Tedeschi, Responsabile innovazione della Divisione Cyber & Security Solutions di Leonardo, che ha spiegato come funziona il software e qual è la filosofia di base da cui muove.
Massimo Tedeschi di LeonardoLEONARDO
In cosa consiste Information Superiority e come può essere applicato?
Si tratta di un ecosistema composto da una serie di piattaforme finalizzate soprattutto ad avere un punto unico dove poter gestire le informazioni legate alla cybersecurity. In questo modo abbiamo creato un posto dove poter conoscere l’attore ostile, il suo modus operandi e anche i suoi target di riferimento, così da capire il tipo di attacco che si potrà verificare o che si è già verificato. Ad esempio se scopriamo che c’è un soggetto che si muove per motivi economici allora potremmo aspettarci un ransomware, mentre in presenza di un attore statuale si preferirà sottrarre informazioni strategiche.
Uno dei pilastri di Cyber Information Superiority è Threat Intelligence, che in pratica è un enorme database di minacce che viene sempre aggiornato e arricchito da dati provenienti da tantissime fonti interne (cioè l’attività di malware analysis dei nostri analisti), fonti esterne (come altre aziende del settore) e fonti aperte di tipo Osint, che ci danno informazioni su nuovi trend nelle minacce informatiche.
Cosa si riesce a fare con le informazioni che raccogliete in questo modo?
In pratica riusciamo a quantificare l’entità del problema creato dall’attacco e a realizzare in modo molto efficace il secondo pilastro di intervento, cioè quella che tecnicamente si chiama threat hunting, ossia la “caccia alla minaccia”. In pratica inseguiamo le tracce lasciate dall’attaccante per prevedere le sue mosse e fermarlo molto rapidamente.
Facciamo un esempio: diciamo che a causa dello smartworking la nostra azienda abbia atomizzato molto l’accesso ai propri server e che questa vulnerabilità venga usata per mandare un ransomware. Io con Cyber Information Superiority riuscirò a vedere che c’è qualcosa di strano nel pc del dipendente, come ad esempio un elemento che sta scrivendo molto rapidamente sul disco oppure un file word che sta provando a connettersi a internet. È un’anomalia che subito ci viene segnalata e ci consente di intervenire nell’immediato.
E con questo sistema si riesce a prevenire le minacce oltre che a limitarne i danni?
Sì, è il terzo pilastro di intervento che si aggiunge alla creazione del database (Threat Intelligence) e del tracciamento immediato di un malware andato a segno (Threat Hunting). Una delle piattaforme di Information Superiority consente di fare un’analisi dei file che arrivano nel server, come ad esempio gli allegati che arrivano via mail, e avvisare subito l’utente del fatto che è stata trovata un’anomalia.
È un funzionamento simile a quello degli antivirus, ma più efficace sia perché in caso di malware riesce a far detonare l’attacco prima che vada a segno e sia perché quell’informazione ottenuta viene subito condivisa con Threat Intelligence così da aggiornare subito il database del sistema e chiudere il cerchio delle informazioni.
Quindi il tutto immagino si basi su AI e machine learning.
Sì, perché in questo modo il sistema riesce a imparare dalle minacce che esso stesso sventa e tende a diventare autonomamente sempre più aggiornato.
Per quale tipo di cliente è pensato un prodotto simile?
Per ora lo stiamo utilizzando sia per il gruppo Leonardo stesso che per alcune realtà particolarmente grandi, innanzitutto all’interno del mondo istituzionale e delle grandi aziende. Però con la suite completa appena lanciata potremo rapportarci anche con aziende più piccole che lavorano insieme alle grandi.
Qui c’è un elemento strategicamente importante: parliamo di un software proprietario italiano, il che è molto importante in un’ottica di sovranità digitale. Anche il server su cui sono depositati i dati sensibili dei clienti sta in Italia ed è sottoposto alle leggi italiane. Immaginiamo un sistema come ad esempio quello della Difesa, a quanto è importante che le informazioni più confidenziali e segrete siano custodite in Italia da un’azienda italiana che rispetta leggi italiane.
Fonte: Wired.it
